По какой-то причине брандмауэр Windows был отключен в домене AD моего клиента. В отчете RSoP показано, что этот параметр взят из дополнительных настроек реестра в Политике домена по умолчанию .
Если бы это было в любом другом объекте групповой политики, я мог бы просто удалить его, но это Политика домена по умолчанию . На контроллере домена нет такого шаблона ADM / ADMX, который управляет этими ключами реестра, поэтому я не могу редактировать их с помощью редактора управления групповой политикой. (Возможно, у какого-то администратора в какой-то момент был один из них на внешнем компьютере с установленными средствами удаленного администрирования сервера.)
Каким будет правильный способ удалить эти настройки? Должен ли я найти и установить правильный шаблон ADM (X) или есть какой-либо ярлык? (Все настройки, которые мне действительно нужны, уже можно найти в Сеть \ Сетевые подключения \ Брандмауэр Windows \
, но при этом брандмауэр Windows остается отключенным для общедоступных и домашних сетей.)
Оказалось, что настройки, сделанные в Настройки Windows , не соответствовали шаблонам ADM (X).
Computer Configuration
|+ Policies
|+ Windows Settings
|+ Security Settings
|+ Windows Firewall with Advanced Security - LDAP://...
Здесь настройка свойств брандмауэра Windows для частного и общедоступного профиля на не настроен удаляет все остальное, кроме Software \ Policies \ Microsoft \ WindowsFirewall \ PolicyVersion
из Дополнительные параметры реестра . (Теперь, конечно, здесь тоже можно настроить их по своему усмотрению.)
Это хорошо, поскольку я проверил windowsfirewall.admx
во всех административных шаблонах в Windows Vista, Windows 7 и Windows 10;не было никаких настроек для профиля Private и Public : только для профиля домена и стандартного профиля . Если бы я не нашел это решение, мне пришлось бы использовать методы, описанные ниже.
Самый простой способ решить эту проблему - удалить соответствующий объект групповой политики. и воссоздайте его только с необходимыми настройками. Для политики домена по умолчанию это потребует некоторых дополнительных шагов:
Восстановите объект групповой политики по умолчанию, используя Dcgpofix (только для домена, не для DC):
DCGPOFix / ignoreschema / target: Domain
Измените политику вручную, чтобы она содержала все параметры в отчете.
Другой способ - вручную создать новый административный шаблон , содержащий настройки для этих ключей реестра; .admx
файлы представляют собой XML и их легко редактировать с помощью текстового редактора.
В этом случае для брандмауэра Windows можно было бы отредактировать windowsfirewall.admx
:
Создайте две новые категории. (Я жестко запрограммировал displayName
, чтобы избежать изменения каких-либо .adml
).
Скопируйте все (или только необходимые) дочерние объекты policy
из WF_Profile_Standard
.
При необходимости замените содержимое: Standard
на Public
/ Private
:
[12107 visiblekey="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\...
displayName
s, manageText
s или презентации
, поскольку они уже одинаковы для обеих существующих категорий. Я бы рекомендовал использовать этот новый шаблон только временно и с клиентского компьютера, на котором установлены Инструменты удаленного администрирования сервера , вместо этого использовать его непосредственно на контроллере домена. Таким образом, это не вызовет тех самых проблем, которые вы пытаетесь решить с его помощью!
Как правильно удалить эти настройки?
Установите или просто используйте правильный шаблон (ы) ADM (X) там или на другом компьютере в этом домене. Как показано на снимке экрана, это Windows (Server) 2008, которая не может редактировать параметры реестра, такие как настройки групповой политики.